Milijonski vdor v iOS 9

Podjetje Zerodium, ki ga vodi znani Chaouki Bekrar, je sporočilo, da so izplačali milijon dolarjev neimenovani skupini, ki je našla zero-day ranljivosti v najnovejšem Applovem operacijskem sistemu iOS 9.1. Te omogočajo prevzem nadzora ob obisku neke spletne strani, ne da bi uporabnik to vedel.

Bekrar je znan predvsem kot vodja francoskega podjetja VUPEN, ki se ukvarja z zbiranjem, odkrivanjem in predvsem preprodajo podatkov o neznanih ranljivostih v programski opremi. Njihove stranke so obveščevalne agencije, velike korporacije ter vojaški opremljevalci. VUPEN je v preteklosti povzročil že precej ogorčenja, ker javno priznavajo, da nimajo nobenega namena obveščati proizvajalcev o ranljivostih ali jih celo javno objavljati. Veliko več zaslužijo s prodajo svojim strankam. O kakovosti ekipe VUPEN pričajo tudi številne zmage na tekmovanjih, kot je Pwn2Own.

Bekrar je julija ustanovil zagonsko podjetje Zerodium, za katerega sicer ni čisto jasno, s čim se bo ukvarjalo, bo pa zagotovo povezano z računalniško varnostjo. Med drugim so septembra razpisali natečaj z najvišjo nagrado v zgodovini. Kdor bi uspel vdreti v iPhone ali iPad z najnovejšim operacijskim sistemom, tako da bi bilo treba le obiskati spletno stran ali prebrati prejeto sporočilo brez dodatne uporabnikove interakcije, bi prejel milijon. Rok se je iztekel 31. oktobra in iz Zerodiuma so sporočili, da so prejeli dve rešitvi, izmed katerih je ena popolnoma ustrezna in bo avtorjem prinesla milijon dolarjev.

Neznana skupina je izdelala oddaljen jailbreak, kot so ga poimenovali, a ne gre tistega klasičnega, ki se uporablja za odklep iPhonov. Pokazali so, da je mogoče izdelati spletno stran, katere obisk v Chromu ali Safariju (niso razkrili, kateri brskalnik je ranljiv) zadostuje za okužbo in pridobitev popolnih pravic na napravah z najnovejšim iOS. To potem omogoča popoln nadzor nad napravo in nameščanje poljubnih aplikacij. V Zerodiumu so povedali, da bodo ranljivost prodali svojim strankam, razkriti pa je ne mislijo. Apple se še ni odzval.